¡Calma, mucha calma! No es ni el primero ni el último en sufrir ataques DDoS. Al principio es desesperante, pero existen técnicas que pueden ayudarle a atajar este grave problema en su red.
Vamos, he separado en varias partes lo que hay que hacer
- Identificar si se trata realmente de un ataque y quién ataca
Es común que se produzcan falsos positivos, donde se piensa que es un ataque, pero en realidad es un tráfico anormal, podemos citar como ejemplo una actualización de Windows o Apple iOS o dispositivos que ejecutan Android donde varios dispositivos se actualizan al mismo tiempo haciendo que parezca un ataque, pero es un tráfico real pero anormal.
Si tu caso no es un falso positivo y realmente confirmas que se trata de un Ataque DDoS el siguiente paso es identificar a través de qué interfaces y hacia dónde se dirige el ataque, a qué cliente o a qué equipo.
Pero, ¿cómo hacerlo? Hay varias formas de descubrir este tráfico, por ejemplo
- Si es un router Mikrotik puedes usar la herramienta Torch (Herramientas -> Torch) y analizar que IP tiene un consumo anormal
- Si estás usando un servidor/router Linux o FreeBSD puedes usar tcpdump y analizar qué IPs tienen una comunicación anormal
- En routers Cisco, Juniper, Huawei o Nokia necesitará un analizador de flujo de red como Made4Flow para evaluar qué IPs tienen una comunicación anormal.
- Si no puedes utilizar netflow (Netstream, jFlow, Netflow v5/v9/IPFIX o Traffic Flow de RouterOS), puedes hacer un port-mirror y reflejar el tráfico de puertos de tu router a un servidor o host que pueda analizar el tráfico
Pero en medio de tanto tráfico ¿cómo se puede saber algo anormal? Generalmente los ataques DDoS se producen en puertos que utilizan amplificación, como mencionamos en nuestro artículo sobre qué es DDoS, podemos citar como ejemplo NTP o SSDP. Cuando evalúe que hay un aumento de tráfico (normalmente muchos paquetes y mucho ancho de banda de muchas fuentes diferentes) a una IP específica puede pasar al siguiente paso.
- Utilizar Blackhole – RTBH
El Blackhole o RTBH – Remote Triggered Blackhole es una técnica en la que literalmente enviamos una IP al «agujero negro» y esa IP deja de funcionar tanto en tu red como en Internet deteniendo así el ataque. A través de un anuncio BGP es posible hacer que la IP deje de funcionar y sea enviada a sus operadores informando de que esa IP no debe recibir tráfico.
Blackhole resuelve el problema en ataques dirigidos a 1 o pocas IP’s, pero si el ataque se dirige a muchas IP’s Blackhole no es efectivo debido al número máximo de prefijos anunciados en la sesión BGP.
Si quieres saber más sobre Blackhole , echa un vistazo a nuestro artículo.
Pros:
- Fácil de configurar
- Amplia compatibilidad (todos los routers son compatibles)
- El ataque se detiene rápidamente
Contras:
– IP dejará de funcionar por completo
– Si el ataque se dirige a varias IP puede ser un problema mayor
El Blackhole es funcional pero sólo hasta cierto punto, en ataques más grandes o si los ataques fueron insistentes y las técnicas cambian atacando varias veces no va a satisfacer su demanda
- Utilizar un enlace de mitigación o un centro de fregado
Cuando los ataques cambian y comienzan a atacar múltiples IP’s la técnica Blackhole no cubrirá la demanda y para seguir operando es necesario que alguien limpie el tráfico de ataque del tráfico real, para esto existen empresas que venden enlaces de mitigación que son conocidos como Scrubbing Center o Anti-DDoS.
En este tipo de enlace les diriges tu tráfico de Descarga a través de BGP y ellos utilizarán sus servidores, routers, aparatos y técnicas para limpiar el tráfico de Ataque del tráfico real.
Si quieres saber más sobre Link Mitigation échale un vistazo a nuestro artículo, allí mostramos con más detalle cómo funciona.
Pros:
- Las IP atacadas siguen funcionando
- Todo el problema de la recepción del ataque se traslada a estas empresas
Contras:
- Coste de este enlace
- Aumento de la latencia
- Configuración más compleja, ya que requiere ingeniería de tráfico en BGP cuando se produce un ataque.
- Automatizarlo todo
Los ataques DDoS se producirán cuando menos se lo espere, por lo que crear el marco de protección con automatización es extremadamente necesario.
Para ello Made4Flow dispone del módulo Anti-DDoS donde puede tomar la acción de enviar una IP a blackhole o directa a Mitigación cuando detecta un ataque DDoS.
Con ella puedes recibir alertas por correo electrónico y tener la tranquilidad de que la herramienta está trabajando para ti y tomando acciones automatizadas para la protección de tu red.
Si le gusta esta publicación, ¡compártala!
En los próximos artículos te contaremos cómo prevenir ataques, cómo configurar un blackhole en routers Mikrotik, Cisco, Juniper o Huawei y mucha más información sobre DDoS.
Hasta la próxima